AI社会およびDX社会において、データは最も価値のあるものです。 サイバー犯罪は、現代の犯罪者にとって「最も魅力的で収益性の高い産業」であり、現代の企業にとって最大の脅威なのです。サイバー攻撃は、もはやファイアウォールやアンチウイルスソフトウェアをインストールするだけでは防ぐことができません。 ハッカーは常に技術を磨き、システムに侵入する新しい方法を考案しています。世界がインターネットで接続された現代社会では、セキュリティ侵害を経験する企業の数は日々増加しています。
Apple社が発表したレポート「個人データへの脅威が継続:2023年の増加の主な要因」(The Continued Threat to Personal Data:Key Factors Behind the 2023 Increase)によると、 2013〜2022年の間に、世界的にデータ侵害件数が3倍以上増加し、過去2年間(2021〜2020年)だけでも26億件の個人情報漏えいが発生しました。
Apple社は、「世界中で機密性の高い個人的な消費者データが脅威にさらされていることの明確かつ説得力のある証拠を明らかにした」とし、特にクラウドに保存されているデータに対する脅威が急激に増加したと説明し、企業や個人は暗号化やその他の方法を用いてデータ保護を強化することがより重要だとアドバイスしています。
この記事では、企業が顧客の機密データを保護するためのデータ暗号化の重要性、データ暗号化の種類、最も効果的なデータ暗号化アルゴリズムと暗号化方式など、企業が取り組むべき重要なテーマについて説明します。
セキュリティの基本、データ暗号化とは?
データ暗号化は、不正アクセスを試みるユーザーがデータを読み取れないようにデータをエンコードするプロセスです。暗号化を他のセキュリティ手段と組み合わせて実装することで、セキュリティ脅威のリスクを大幅に減らすことができます。データ暗号化を使用すると、正しい暗号化鍵を持っている人だけがデータを読み取ることができます。データ暗号化は、特に重要なデータを保存または送信する際に使用されます。たとえば、クレジットカード情報や健康記録などの個人情報を保存または送信する際に、データ暗号化を使用することができます。データ暗号化は、たとえデータが傍受されたとしても、悪意のある人がこのデータを使用できないようにします。
データ暗号化の基本構造
データ暗号化を実装することは、通信間の送信データと記録媒体のデータの両方を保護するために非常に重要です。暗号化の最初のステップは、数字、文字または記号を含む異なる文字を混合することです。人間が読めるテキストを、暗号化アルゴリズムと鍵を使用して理解できないテキストに変換します。
暗号化は、数学的な値の集合である暗号鍵を使用します。コンピュータも人間も、その鍵がなければそのデータを読み取ることができません。 正しい鍵がある場合にのみ、ユーザーにデータをプレーンテキストに戻す権限を与えることができます。複雑な暗号鍵は、より安全な暗号化を意味します。
データ暗号化の種類
暗号化の方法は、送信者と受信者が鍵を共有し、暗号化と復号プロセスをどのように処理するかによって、大きく2つのカテゴリーに分けられます。最も一般的な方法は、対称暗号化と非対称暗号化です。 また、暗号化後に再度復号できない一方向暗号化方式も存在します。
対称暗号化
対称鍵暗号化方式は、対称鍵暗号化アルゴリズム(3DES、TDE、AESなど)を使用して、送信しようとする平文、つまりまだ暗号化されていない情報またはデータを暗号化し、復号するのに同じ鍵を使用する方式です。
対称鍵暗号化方式は、後述する非対称鍵暗号化方式に比べて暗号化処理速度が速いのが特徴です。 また、暗号化および復号に使用される暗号鍵の長さが非対称鍵暗号化方式より比較的短いため、一般的な情報を暗号化するために多く使用されます。 また、鍵を持っている人は情報を復号することができるので、許可されたユーザーだけが暗号化された情報を復号し、その情報にアクセスすることを保証するために使用されます。しかし、そのデータにアクセスしようとする者と同じ鍵を共有しなければならないため、複数の人とデータを交換する場合、多くの鍵を維持・管理しなければならないという問題があります。
非対称暗号化
非対称鍵暗号化方式は、非対称鍵暗号化アルゴリズム(RSA、ECCなど)を使用して平文を暗号化します。しかし、対称鍵暗号化アルゴリズムとは違い、暗号化・復号に使用される鍵が異なります。公開鍵と秘密鍵の鍵ペアが存在し、データの送信者と受信者で異なる暗号鍵を使用する方式です。つまり、送信者がデータを送信する際、受信者の公開鍵を使って暗号化し、受信者にデータを送信します。受信者は渡された暗号化データを自分のみが保有する秘密鍵を使って復号した後、平文を確認、または送信者の秘密鍵を使用して暗号化し、受信者は送信者の公開鍵を使用して復号する場合は、送信元の検証(デジタル署名)等に利用されます。
このように非対称鍵方式は、対称鍵方式とは異なり、暗号鍵を互いに共有する必要がないという特徴があります。 また、非対称鍵暗号化方式は、対称鍵暗号化方式に比べて暗号化処理速度が遅いため、一般的な記録媒体のデータを暗号化するのではなく、電子署名やカード番号、対称暗号化方式で利用する暗号鍵等のようにサイズが小さく固定可されたデータを暗号化する場合に多く利用されます。
一方向暗号化
最後に、一方向暗号化方式は、ハッシュ関数* (SHA-2、SHA-3など)を利用して平文を暗号化することを意味します。 しかし、他の暗号化方式と違って再復号されないという特徴があり、一般的にパスワードを暗号化するのに多く使われています。
* ハッシュ関数とは?
任意の長さを持つメッセージを入力して、固定長のハッシュ値またはハッシュコードと呼ばれる値を生成し、同じ入力メッセージに対して常に同じ値を生成しますが、ハッシュ値だけでは入力メッセージを推測することができないという理論に基づきます。そのため、パスワードのように復号を必要とせずに、入力値の正確性検証が必要な場合などに使用されています。
データ暗号化アルゴリズム
データ暗号化アルゴリズムとは、基本的に暗号化プロセスを制御するルールと命令です。暗号化の効率は、暗号化システムの鍵の長さ、特徴、機能に依存します。
暗号化アルゴリズムは、悪意のある攻撃者によって開始された高度な攻撃に対応するために長年にわたって進化してきました。 さまざまなセキュリティニーズを満たす多数の暗号化アルゴリズムがあり、一般的に使用されるアルゴリズムは次のとおりです。
3DES または TDES 暗号化
トリプルデータ暗号化標準として知られる3DESは、DESブロック暗号の高度なバージョンです。 このアルゴリズムは、暗号化と復号、そして再暗号化を行い、鍵の長さを長くします。DESには56ビットの鍵があるのに対し、3DESは56ビットの鍵を3回実行して168ビットの鍵にします。
暗号化は、暗号化、復号、そして再暗号化の3つの段階で動作します。同様に、復号段階も復号、暗号化、そして再暗号化で動作します。ただし、今日では、3DESの暗号化は脆弱性が指摘されたこともあり、一般的に利用されるものではなくなり、旧サービスの一部のハードウェア暗号化用途等に残されるのみになります。
AES 暗号化
AESはAdvanced Encryption Standardの略で、Rijndaelアルゴリズムをベースにした対称鍵暗号化です。米国政府の暗号化標準として制定され、128、192、256ビットサイズで提供されます。鍵の長さが長くなるにつれて、暗号化ラウンド数も増加します。たとえば、128ビットは10ラウンドを持つ一方、192ビットは12ラウンドを持ちます。 ハードウェアとソフトウェアの両方に利用され、データ暗号化時に一般的に使用するアルゴリズムです。今日では、最も汎用的に利用されているデータ暗号化アルゴリズムと言えます。
RSA 暗号化
このRSA暗号化方式は、鍵長が長く強固なセキュリティ用途で利用されます。暗号化の名前は、アルゴリズムを最初に説明した数学者Rivest、Shamir、Adlemaの姓の頭文字にちなんで名付けられました。一対の鍵を使用するため、 伝送中のデータを保護するために広く使用されている非対称暗号化のひとつです。RSA暗号化は、処理能力が大きい場合のみ解読することができます。SSH、S/MIME、OpenPGP、SSL/TLSなどのセキュリティプロトコルやブラウザではRSA暗号化を使用しています。
データ暗号化のメリット
あらゆる状態のデータを保護することは重要であり、データ暗号化は潜在的な盗難に対する効果的な対策です。大量のデータを転送する企業は、莫大なコストとブランドの評判を損なう可能性のある重大なセキュリティ侵害を防ぐために、暗号化を導入する必要があります。以下のデータ暗号化の利点は、企業が一連の暗号化技術を実装することが一般的な慣行である理由を理解するのに役立ちます。
効果的なデータ保護
データ暗号化は、侵害事故によるデータ漏えい時の最後の手段として、データを無力化することにその目的があります。
データ保護の始まりは、データがどこにあるかを把握し、保護するデータを識別することです。 顧客や財務情報などのデータは識別が容易ですが、一部のデータはそうでない場合もあります。過去10年間に個人情報や機密情報に対する認識や取り組みについて多くの変化がありましたが、多くの企業は依然としてデータの識別に苦労しています。
機密データを特定した後、データの安全な暗号化および管理方法に基づいて暗号化戦略を実行します。
- 記録媒体、ファイル、データベース、アプリケーション等のシステムに応じた実現可能な暗号化方式を選定します。
- 機密データのアクセスの必要性を精査し、復号するデータの利用者権限を最小限にします。
- セキュリティ管理者をアサインし、必要な権限を与え、暗号化鍵は安全な場所にデータと分離して管理します。
- 産業分野ごとに適切な鍵交換のベストプラクティスを反映して、定期的に暗号鍵を交換します。
データ暗号化のほか、データアクセス制御とモニタリングにより、権限が付与された特権ユーザーにのみアクセスを許可し、データへの迅速かつ安定的なアクセスを保証します。
データ整合性保証
データの操作や変更は、企業が直面するもうひとつのセキュリティ課題です。データ改ざん攻撃は、社内でもクラウドでも発生する可能性があります。ハッシュ暗号化は、データの改ざんを防止し、データが改ざんされたときに受信者がそれを把握するのに役立ちます。
コンプライアンス遵守の保証
国家と政府、そして産業コンソーシアムが個人情報保護の重要性を認識し、GDPR(Global Data Protection Regulation)、CCPA(California Consumer Protection Act)、ISMS-P(Information and Privacy Security Management System)、PIA(Privacy Impact Assessment)などのコンプライアンスを制定しており、 守らない場合、重い罰金を課すようにしています。
しかし、企業の立場では、どのようなデータがどのようなコンプライアンスに抵触するのか、侵害事故時の報告条項や規制不適合による法的責任などの要件をすべて理解し、遵守することは容易ではありません。
暗号化は、さまざまなセキュリティコンプライアンスの不適合を解決するのに役立ちます。重要で機密性の高いデータが盗まれた場合、データを無力化することで、データ保護というコンプライアンス要件を満たすことができます。さらに、協力会社や支社とデータを共有する際には、機密データのマスキング処理やトークン化などの方法で、コンプライアンス要件を遵守する必要があります。
消費者の信頼性向上
データ侵害により、お客様のデータの安全性とプライバシーに対する懸念が高まっています。顧客を大切にする責任ある企業として、セキュリティのベストプラクティスに従わなければなりません。 あなたのビジネスが特定の暗号化規格に準拠し、データセキュリティを最優先事項とすることを顧客に約束することで、競合他社よりも優位に立つことができます。暗号化技術への投資は、顧客の信頼を得るのに役立ちます。
安全なデータ暗号化には?
暗号化方式とアルゴリズムの選択
暗号化は、データベースの表領域全体を暗号化するものやカラム単位のデータ暗号化、そして画像や動画のような物理ファイルそのものを暗号化するものなど、暗号化するシステムの特性によって最適な暗号化方式の選択も異なります。 また、アルゴリズムや暗号鍵長が表す暗号化強度の要件を満たす必要もあります。企業のデータを保護する上で実現可能な暗号化の実装方法を検討し、今日求められるセキュリティ要件を満たす暗号化ソリューションを選択しなくてはなりません。ペンタセキュリティの提供するD'Amo(ディアモ)は、カラム単位のデータ暗号化を実現するPlug-In方式から物理ファイルの暗号化が可能なKernel方式まで、ユーザーのシステム環境に応じた多様な暗号化方式をサポートし、AESアルゴリズムや512bitまでの暗号鍵長を含むセキュリティ強度を兼ね備えた、企業にとって柔軟かつ最適なデータ暗号化ソリューションの選択となります。
独立した暗号鍵管理システム
暗号化だけでは、重要なデータを安全に保つには十分ではありません。暗号化プロセスで最も重要な役割を果たすのが「暗号鍵」だからです。 データ漏えいが発生した場合、暗号化されたデータと同じサーバーに鍵が保存されていれば、ハッカーはその鍵を利用してデータにアクセスし、復号することができます。同様に、鍵が破損または消失した場合も、データが失われたのと同じです。 したがって、鍵管理はエンタープライズ暗号化において重要な部分です。 このように重要な鍵は、生成から廃棄に至るまで、そのライフサイクルを安全に管理することが不可欠です。
企業のデータ保管システム全体で鍵を安全に管理する最も便利な方法は、暗号鍵管理システム(KMS:Key Management System)を使用することです。 D'Amoは専用の暗号鍵管理システムであるD’Amo KEを提供しています(2024年下半期に発売予定)。統合鍵管理システムであるD’Amo KEは、暗号鍵の生成、廃棄、管理の統合機能を提供し、暗号鍵を別の独立したシステムに保存して安全に管理します。
アクセス制御と監査
アクセス制御とは、暗号化されたデータへのアクセスを効果的に保護するための暗号化、復号権限およびIP、プロセスなどを使用したアクセス制御およびそれに伴う監査機能を意味します。アクセス制御は、暗号化において必須であり、ユーザーによってさまざまなアクセス権限をコントロールしながら実装することが可能です。 また、アクセス制御以外にも、必要な場合にはすべてのアクセス記録を効率的に検索、確認することができなければなりません。 監査機能により、管理者は疑わしい活動や異常な活動に対する監査ログを確認できるため、データセキュリティを包括的に強化することができます。
D'AmoはDBMSユーザー単位の暗号化、復号権限管理およびアクセス制御機能を通じて暗号化したデータに対する綿密なアクセス管理計画を行い、記録されたすべてのアクセス制御記録は、ユーザーが簡単に確認できるように統合管理ツールを提供しています。
まとめ
暗号化戦略を立案して適用するためには、データの所在を把握し、機密データを識別し、データの規模や重要性に応じて適切な暗号化ソリューションの検討が必要になります。 また、個人情報保護法など多くの法的要件の分析を通じて、組織とビジネスに最適なセキュリティポリシーの実装と管理が伴わなければなりません。この実現のためには、現在の業務を最大限に維持しながら、ユーザー環境に合わせた多様な暗号化方式と暗号鍵管理、アルゴリズムなどをサポートする暗号化ソリューションの選択が必要です。
D'Amoは、20年以上世界市場で検証された暗号化ソリューションであり、ユーザーの多様な環境に合わせた暗号化の実装方式を提供し、強力なアクセス制御と監査ログ機能で、現在と未来のユーザーの最も重要なデータ資産を保護する安全かつ強固な暗号化セキュリティソリューションです。
